Заблокирован Windows (Trojan.Winlock, etc...)

[Obivan]

by cinder
Обзор темы, все полезные ссылки собраны здесь

Часть первая. Онлайн

Сервис деактивации вымогателей-блокеров
http://virusinfo.info/deblocker/

разблокировщик Dr.Web от Trojan.Winlock
http://www.drweb.com/unlocker/index/

разблокировщик от Касперского
http://support.kaspersky.ru/viruses/deblocker

Сервис по разблокировке от ESET
http://esetnod32.ru/support/winlock.php

Часть вторая. Оффлайн

Ransom Hide - утилита для подбора кода разблокировки
http://www.nowa.cc/showthread.php?t=262083
http://mbty2010.narod.ru/

F.A.Q. Злобный троян-вымогатель «Windows заблокирован, пошлите смс на номер…. http://www.nowa.cc/showpost.php?p=3605040&postcount=9

Восстановление userinit.exe /StayeR/
Подробнее

1. Заводим установочный диск с виндой. Винда должна быть ОБЫЧНАЯ, БЕЗ автоустановки.
2. В самом первом меню жмем "R" для запуска консоли восстановления.
3. Входим в нужную нам копию Windows, вводим пароль администратора, если такового нет - просто Enter.
4. Появится командная строка с буквой диска и путем с Windows. Запоминаем, а лучше записываем этот путь. (По умолчанию C:\windows)
5. Вводим команду map src - получаем все буквы дисков. Нас интересует CdRom. Вид такой: D: \Device\CdRom0. (По умолчанию d: )
6. Вводим букву + : (напр. D: )
7. Заходим в папку i386, для этого пишем cd i386\
8. Финальная команда EXPAND userinit.ex_ пробел и указываем путь к папке windows, который мы записывали в пункте 4 ПРИБАВЛЯЯ в конце system32\userinit.exe т.е команда по умолчанию выглядит так : expand userinit.ex_ C:\windows\system32\userinit.exe
9. Перезагружаем машину - пишем Exit.

Если же имеем неправильную строку в реестре, то тут нужно завести LiveCD, в котором есть возможность редактировать удаленный реестр. Я для этого использую Live iNFRA CD. Там все просто - цепляемся к удал. реестру исправляем ключ Userinit и в путь...

Также

Специалист ЛК учит бороться с вирусом-шантажистом
http://www.securitylab.ru/news/378527.php

Главное антивирусное средство - голова!
http://habrahabr.ru/blogs/i_am_clever/56923/

Если имеется стойкое желание дать по рогам авторам вирусов-вымогателей, то читайте
Как нахлобучить SMS-мошенников?
http://pazzive.livejournal.com/188661.html

[Deementor]

viur,
Дело в том, что в нынешнем году вышло слишком много описаний критических уязвимостей как для windows OS так и для интернет браузеров.

StayeR,
Спешу Вас обрадовать :-), дата вашего поста с ручным способом удаления шантажиста 24.04.2009, самое же раннее описание в сети, что мне удалось найти от 27.04.2009г. Что же касается Лаборатории Касперского, то заметка датирована 28.04.2009 г. Так что Вы первый )

[StayeR]

Deementor,
Спасибо, приятно! У меня с того дня в среднем 1-2 машины в день с такой ботвой...
Кстати в Лабораторию Касперского, лично отправлял тела для детектирования:
Ответ на письмо из ЛК

Цитата: Здравствуйте ********* nod2.bin, nod3.bin, nod4.bin, nod5.bin Вредоносный код в файлах не обнаружен. nod2.tmp_, nod3.tmp_, nod4.tmp_, nod5.tmp_ - Trojan-Ransom.Win32.Agent.bl, - разработка гениратора ключей для данного трояна на стадии разработки. xvidDecoder1.exe_ - Trojan-Dropper.Win32.Blocker.u Детектирование файлов будет добавлено в следующее обновление. Пожалуйста, при ответе включайте переписку целиком. Ответ актуален для последних баз с источников обновлений. > Здравствуйте! Вот уже вторые сутки подряд в сети блуждает > модифицированный вирус, блокирующий систему. KIS 2009 смог > заблокировать один из сайтов на загрузку вируса, но само тело вируса > распознает как чистое. > Файлы: Установщик, и уже распакованные файлы вируса. > Прописывается в ключ UserInit, инсталлируется в temp. > Удалить можно только с LiveCD --------- С уважением, Андрей Ладиков Вирусный аналитик ЗАО "Лаборатория Касперского" Тел.: +7 (495) 797-8700 E-mail: [email protected] http://www.kaspersky.com http://www.viruslist.com 123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru __________ Information from ESET NOD32 Antivirus, version of virus signature database 4022 (20090420) __________ The message was checked by ESET NOD32 Antivirus. http://www.eset.com

P.S: Стараюсь только для Nowa.cc - этой мой "второй дом"... ;) Больше нигде не выкладывал...
P.P.S: Сегодня лечил в очередной раз данный вирус. Вариант с экранной лупой не везде проходит - это факт. Как я понял, в windows xp SP3 + заплатки, БЛОКИРУЮТ кнопку "Справка", (неактивная кнопка) с помощью которой можно вызвать Internet Explorer... При чем, это действия Microsoft, для реализации защиты от использования неактивированной копии Windows... Такие дела... Так что Live CD Вам в помощь...
P.P.P.S:

Цитата: дата вашего поста с ручным способом удаления шантажиста 24.04.2009

От 20.04.2009... ;)

[Deementor]

StayeR, Собственно говоря не так уж и важна дата, ни кто не предъявляет права на ©, при то, что он Must Die

Цитата: The message was checked by ESET NOD32 Antivirus.

Сталкивался с ЛК, они глухо реагируют на присланные файлы, если конечно не их эвристика отловила или есть указания на то, что приславший пользуется другим софтом :-).
Убедительно прошу пользователей не перекидывать тему на обсуждение достоинств и недостатков апсосов антивирусных продуктов.

[AndreyWM]

По порядку. Клиент, красный экран с кодом на "к". Загружаюсь с ERD Commander, вычистил папки Local Setting/Temp, System32 ***lib.dll винда загрузилась. Далее, исправил ключ в реестре userinit.exe, не презагрузился, запустил CureIt, он нашел C:windows\system32\userinit.exe инфицирован Trojan.Download.35735>лечить. Перезагружаюсь, ввод пароля, на пару секунд появляется чистый рабочий стол, завершение сеанса и поле ввода пароля юзера. После этого при вводе пароля на мгновение появляется загрузка параметров>завершение сеанса и опять вываливается в экран ввода пароля. Есть какие ни будь предложения?

[StayeR]

AndreyWM
Есть! Нужно восстановить файл userinit.exe, т.к он либо удален либо поврежден... Еще есть вариант - когда правил реестр, СЛУЧАЙНО стер на пример последнюю букву в строке userinit.EX
Что бы восстановить файл:

1. Заводим установочный диск с виндой. Винда должна быть ОБЫЧНАЯ, БЕЗ автоустановки.
2. В самом первом меню жмем "R" для запуска консоли восстановления.
3. Входим в нужную нам копию Windows, вводим пароль администратора, если такового нет - просто Enter.
4. Появится командная строка с буквой диска и путем с Windows. Запоминаем, а лучше записываем этот путь. (По умолчанию C:\windows)
5. Вводим команду map src - получаем все буквы дисков. Нас интересует CdRom. Вид такой: D: \Device\CdRom0. (По умолчанию d: )
6. Вводим букву + : (напр. D: )
7. Заходим в папку i386, для этого пишем cd i386\
8. Финальная команда EXPAND userinit.ex_ пробел и указываем путь к папке windows, который мы записывали в пункте 4 ПРИБАВЛЯЯ в конце system32\userinit.exe т.е команда по умолчанию выглядит так : expand userinit.ex_ C:\windows\system32\userinit.exe
9. Перезагружаем машину - пишем Exit.

Если же имеем неправильную строку в реестре, то тут нужно завести LiveCD, в котором есть возможность редактировать удаленный реестр. Я для этого использую Live iNFRA CD. Там все просто - цепляемся к удал. реестру исправляем ключ Userinit и в путь... Дабы такого не было, нужно следить внимательно, когда исправляешь ключ реестра...

Удачи! ;)

[AndreyWM]

Цитата: Сообщение от StayeR Дабы такого не было, нужно следить внимательно, когда исправляешь ключ реестра...

Ключ 100% правильный. Скорее всего Dr.Web прибил файл userinit. Востановление запускал, при чем полное востановление. Те же грабли.

[StayeR]

AndreyWM,
Дык а что мешает восстановить файл Userinit через консоль?
Начинать нужно было именно с этого... Если бы не помогло, тогда уже смотреть реестр...

[Xaxol28]

Буквально сегодня тоже коллега подлавил эту бяку:

Хватило более простого способа:
То есть загрузка с liveCD
проверка Dr.Web
происходит убийство этого трояна
и комп загрузился нормально.
После обязательно штатный антивирус обновить (у него база надельной давности была оказывается) и сделать полную проверку.

Можно сделать вывод что данный троян имеет несколько версий, одни проще, одни сложнее...

[AndreyWM]

Цитата: Сообщение от StayeR Дык а что мешает восстановить файл Userinit через консоль?

Дык, дык, так таки ни чего не мешает Ждем очередного страдальца, на этой машине уже просто переустановленна винда (желание клиента закон ) К стати, этот последний отправил три СМС на общую сумму 900 руб. и только готовясь к четвертому СМС его посетила мысль, что здесь не все так чисто и кажется это развод

[LeSoft]

Подцепил похожую дрянь, Отличительная особенность наличие portmap.exe и упоминания ООО информ-чегота-там. ERDcommander 2008 и откат до точки восстановления на день раньше. рукопашная чистка не увенчалась успехом

Добавлено через 3 минуты
Кстати перед этим глюканул Каспер, отругавшись на базы. Сейчас думаю, что это его троян уестествил.

[oleg1]

Недавно тоже столкнулся с таким вирусняком, но поскольку в этом я еще не столько силен чтобы разобратся,- пришлось переустанавливать винду, много он мне мороки принес!!!

[inva]

Я поймал такой вирус, и на экране вылезло сообщение о блакировке винды. Чтобы разблокировать отправте смс и бла бла бла. Диспетчер и пуск открывались на доли секунд. Прочитал все ветки, просканил все и всем, но ничего не нашел. Сделал следующее: открыл диспетчер и держал alt+tab постоянно, таким образом дисп. задач светился через блок-ее окно. В диспетчере был 1 процесс под названием wndtitlap. Тут то я и понял что к чему. Жму закрыть енту прогу, появляется окно(тоже при alt+tab постоянно) "завершить сейчас", жму да. Блокировка исчезает. Появляется окно об отправке ошибки к Билу программы ifupu.exe. АГА. Ввожу в поиск название проги и нахожу ее в doc & set/имя юзера/loc.set, вроде, деляю енту прогу и ребут. Вуаля, больше ничего не появлялось!!!
З.Ы. надеюсь как и мне кому-ть поможет!

[Filosoffil]

А какой антивирус лучше всех находит этот вирус?)

[Womanizer]

У меня тоже самое,даже когда не в браузере...

[Правша]

А что делать, если ехе файлы не открываются. Почистил реестр, блин Теперь не знаю, как восстановить Винду?